Morphing Meerkat Kit za krađu identiteta

Istraživači kibernetičke sigurnosti otkrili su sofisticiranu platformu Phishing-as-a-Service (PhaaS) koja iskorištava zapise razmjene pošte (MX) sustava naziva domena (DNS) za stvaranje lažnih stranica za prijavu koje oponašaju više od 114 robnih marki. Glumac koji stoji iza ove operacije, praćen pod pseudonimom Morphing Meerkat, sudjelovao je u velikim kampanjama krađe identiteta kako bi prikupio korisničke vjerodajnice.

Kako radi Morphing Meerkat

Napadači koriste višestruke taktike za distribuciju veza za krađu identiteta i eksfiltraciju ukradenih vjerodajnica. To uključuje:

• Iskorištavanje otvorenih preusmjeravanja: iskorištavaju ranjivosti u adtech infrastrukturi.
• Kompromitirajuće domene: hakirana web-mjesta koriste se za hostiranje phishing sadržaja.
• Korištenje Telegrama za eksfiltraciju: Ukradene vjerodajnice šalju se prijetnjama putem Telegrama.

Jedna dokumentirana kampanja iz srpnja 2024. uključivala je phishing e-poruke koje su sadržavale poveznice na navodno dijeljeni dokument. Klikom na poveznicu korisnici su se usmjeravali na krivotvorenu stranicu za prijavu hostiranu na Cloudflare R2, gdje su njihove vjerodajnice prikupljene i poslane napadačima.

Zaobilaženje sigurnosti pametnom taktikom

Morphing Meerkat uspješno je isporučio tisuće phishing e-poruka zaobilazeći sigurnosne obrane. To postiže:

• Iskorištavanje ugroženih WordPress web stranica : Hosting phishing stranica na legitimnim, ali hakiranim web stranicama.
• Iskorištavanje ranjivosti otvorenog preusmjeravanja : korištenje platformi za oglašavanje kao što je DoubleClick u vlasništvu Googlea za izbjegavanje sigurnosnog otkrivanja.

Platforma za krađu identiteta također povećava svoju učinkovitost dinamičkim prevođenjem sadržaja na više jezika, uključujući engleski, korejski, španjolski, ruski, njemački, kineski i japanski, što joj omogućuje da cilja žrtve širom svijeta.

Napredne tehnike izbjegavanja

Morphing Meerkat koristi nekoliko tehnika anti-analize i maskiranja kako bi izbjegao otkrivanje:

• Zamagljivanje i inflacija koda : otežava analizu stranica za krađu identiteta.
• Onemogućavanje desnog klika i prečaca: Sprječava sigurnosne istraživače da brzo pregledaju ili pohrane izvorni kod stranice za krađu identiteta.

Uloga DNS MX zapisa u prilagođenom krađi identiteta

Ono što Morphing Meerkat izdvaja od ostalih phishing prijetnji je njegova upotreba DNS MX zapisa za prilagodbu phishing napada. Komplet za krađu identiteta dohvaća MX zapise iz Cloudflarea ili Googlea kako bi identificirao žrtvinog pružatelja usluge e-pošte—kao što je Gmail, Microsoft Outlook ili Yahoo!—a zatim poslužuje odgovarajuću lažnu stranicu za prijavu.

Ako komplet za krađu identiteta ne prepozna MX zapis, prema zadanim postavkama prikazuje Roundcube stranicu za prijavu. Ova dinamička prilagodba značajno povećava vjerojatnost uspjeha čineći da iskustvo krađe identiteta žrtvama izgleda besprijekorno i autentično.

Zašto ova metoda napada nije sigurna

Mogućnost prilagođavanja stranica za krađu identiteta žrtvinom pružatelju usluga e-pošte čini ovu kampanju posebno varljivom. Poznavanje lažne stranice za prijavu, zajedno s dobro osmišljenom phishing e-poštom, povećava šanse da korisnik nesvjesno unese svoje vjerodajnice.

Iskorištavanjem inteligencije temeljene na DNS-u, Morphing Meerkat podiže phishing napade na novu razinu sofisticiranosti, čineći ih težima za otkrivanje i uvjerljivijima nego ikad prije. Stručnjaci za kibernetičku sigurnost nastavljaju pratiti i analizirati njegove taktike koje se razvijaju kako bi ublažili njegov utjecaj.